限制主機訪問實現內外網隔離

近期公司接到上級單位通知須要各個分支機構建設金融專網，其中有一條要求是終端設備不容許訪問互聯網。因爲各個分支機構沒有獨立的防火牆設備。各分支機構訪問互聯網都是經過公網隧道從總部機房出口。在公網隧道故障時，訪問互聯網的流量切換到本地線路出局。所以，單純的在總部機房防火牆限制訪問沒法達到完整的效果。
所以，咱們考慮了幾種方案：

一、調整終端主機路由配置
二、當地接入交換機明細ACL控制
三、當地出口路由器回指null0路由

這三種方法中，選擇一種方法結合總部機房防火牆過濾配合使用。
通過深思熟慮後，咱們選擇調整終端主機路由的方式，能夠簡化網絡配置，易於分公司的helpdesk維護。並且終端的限制近源，從源頭掐掉了訪問互聯網的流量，減小了內網中的垃圾流量。

終端配置思路

觀察終端設備路由，能夠發現有一條默認路由，主機採用該路由訪問互聯網。

在終端設備上刪除該路由，再加上內網和專網業務路由，便可限制該主機訪問目標。
考慮到主機在使用中會有開關機重啓的狀況，該任務須要在每次開機後執行一遍。
所以，採用BAT腳本調整路由，而後開機計劃任務執行該腳本。

終端配置步驟

一、首先準備shybj.bat腳本，內容樣例以下：

@echo off
##10.16.25.1爲本機網關地址，該條目爲內網路由
route -p add 10.16.0.0 mask 255.255.0.0 10.16.25.1
##添加業務地址路由，該條目爲業務路由
route -p add 10.4.1.0 mask 255.255.255.0 10.16.25.1
##刪除默認路由，無需修改
route delete 0.0.0.0 mask 0.0.0.0

二、運行打開計劃任務

三、新建一個開機任務，使用最高權限運行
因爲更改主機路由須要管理員權限，所以要採用最高權限執行腳本。

四、設置觸發條件，延遲啓動1分鐘
經測試，開機後直接執行是失效的，緣由多是開機後腳本執行先於網絡啓動。

五、調用腳本

六、能夠看到任務處於準備就緒狀態

從終端和網絡設備兩個維度同時限制專網設備訪問，可確保專網設備與互聯網隔離，知足上級單位的網絡建設需求。